Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=server-protection-group-threat

Threat Protection-Richtlinie für Server

Threat Protection schützt Sie vor Schadsoftware, unsicheren Dateitypen und Websites sowie bösartigem Netzwerkdatenverkehr.

Gehen Sie zu Meine Produkte > Server > Richtlinien, um Threat Protection einzurichten.

So richten Sie eine Richtlinie ein:

  • Erstellen Sie eine Threat Protection-Richtlinie. Siehe Richtlinie erstellen oder bearbeiten.
  • Öffnen Sie das Tab Einstellungen der Richtlinie und konfigurieren Sie die Einstellungen wie nachfolgend beschrieben. Stellen Sie sicher, dass die Richtlinie aktiviert ist.

Sie können entweder die Standardeinstellungen verwenden oder diese ändern.

Wenn Sie eine der Einstellungen in dieser Richtlinie ändern und herausfinden wollen, was die Standardeinstellung war, erstellen Sie eine neue Richtlinie. Sie müssen diese nicht speichern, sehen so aber die Standardeinstellungen.

Hinweis

SophosLabs legt eigenständig fest, welche Dateien gescannt werden. Sie können die Überprüfung bestimmter Dateitypen hinzufügen oder entfernen, um den bestmöglichen Schutz zu gewährleisten.

Empfohlene Einstellungen

Standardmäßig verwendet die Richtlinie unsere empfohlenen Einstellungen.

Diese Einstellungen bieten Ihnen optimalen Schutz, ohne dass Sie eine komplexe Konfiguration durchführen müssen. Hierzu zählen:

  • Erkennung bekannter Schadsoftware.
  • Überprüfungen in der Cloud zur Erkennung der aktuellsten Schadsoftware, die Sophos bekannt ist.
  • Proaktive Erkennung von Schadsoftware, die erstmalig aufgetreten ist.
  • Automatische Bereinigung von Schadsoftware.
  • Automatischer Scan-Ausschluss von Aktivitäten bekannter Anwendungen.

Wenn Sie nicht empfohlene Einstellungen verwenden, werden Warnungen auf der Seite mit den Richtlinieneinstellungen angezeigt.

Wägen Sie sorgfältig ab, ob Sie die empfohlenen Einstellungen ändern, weil sich Ihr Schutz dadurch verringern kann.

Einschränkung

Auf Windows-Servern stehen nicht alle Optionen zur Verfügung.

Live Protection

Live Protection überprüft verdächtige Dateien durch Abgleich mit der Bedrohungsdatenbank von SophosLabs. So können Sie die neuesten Bedrohungen erkennen und falsch positive Erkennungen verhindern. Optionen:

  • Verwenden Sie Live Protection, um die neuesten Informationen zu Bedrohungen online von SophosLabs abzurufen. Mit dieser Option werden Dateien im Rahmen des Echtzeit-Scans überprüft.

  • Live Protection während der geplanten Scans verwenden.

    Hinweis

    Unter Linux verwenden geplante Scans immer Live Protection, unabhängig von dieser Einstellung.

Wenn Sie Live Protection deaktivieren, wird Ihr Schutz verringert und es können mehr falsch positive Erkennungen auftreten.

Unsere Bedrohungsdatenbank finden Sie im Sophos Bedrohungs-Center.

Deep Learning

Deep Learning kann Bedrohungen automatisch erkennen, insbesondere neue und unbekannte Bedrohungen, die bisher nicht erkannt wurden. Es verwendet Machine-Learning-Techniken und ist nicht von Signaturen abhängig.

Deep Learning zu deaktivieren, reduziert Ihren Schutz erheblich.

Echtzeit-Scans – Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk

Echtzeit-Scans überprüfen Dateien auf bekannte Schadsoftware, wenn sie aufgerufen und aktualisiert werden. Es verhindert, dass bekannte Schadsoftware ausgeführt wird und infizierte Dateien von legitimen Programmen geöffnet werden.

Scan ermöglicht standardmäßig das Scannen lokaler und Remote-Dateien (Dateien, auf die über das Netzwerk zugegriffen wird) in Echtzeit. Wählen Sie Lokal, wenn Sie nur Dateien auf dem Gerät scannen möchten.

  • beim Lesen: Die Dateien werden gescannt, wenn sie geöffnet werden.
  • beim Schreiben: Die Dateien werden gescannt, wenn sie gespeichert werden.

Scannen aktivieren für Server Protection for Linux Agent erlaubt Echtzeit-Scans auf Linux-Geräten. Dies gilt für Sophos Protection for Linux, aber nicht für das veraltete Produkt Sophos Anti-Virus. Siehe Korrektur.

Wenn Sie diese Optionen deaktivieren, kann bekannte Schadsoftware ausgeführt werden oder auf diese zugegriffen werden.

Echtzeit-Scans - Internet

Beim Echtzeit-Scan werden Internetquellen gescannt, während Benutzer auf diese zugreifen.

Laufende Downloads scannen

Diese Einstellung steuert, ob Downloads und Seiteninhalte gescannt werden, bevor sie den Browser erreichen.

  • HTTP-Verbindungen: Wir scannen alle Inhalte und Downloads.
  • HTTPS-Verbindungen: Wir scannen keine Inhalte, es sei denn, Sie aktivieren die Funktion Websites mit SSL/TLS entschlüsseln.

Zugriff auf schädliche Websites blockieren

Diese Einstellung verweigert den Zugriff auf Websites, die dafür bekannt sind, Schadsoftware bereitzustellen.

Wir führen eine Reputationsprüfung durch, um zu ermitteln, ob die Website schädliche Inhalte bereitstellt (SXL4-Suche). Wenn Sie Live Protection deaktivieren, wird auch diese Prüfung deaktiviert.

  • HTTP-Verbindungen: Alle URLs werden geprüft, einschließlich vollständiger HTTP-GET-Anforderungen.
  • HTTPS-Verbindungen: Basis-URLs werden geprüft (SNI). Wenn Sie Websites mit SSL/TLS entschlüsseln aktivieren, werden alle URLs geprüft, einschließlich vollständiger HTTP-GET-Anforderungen.

Downloads mit geringer Reputation erkennen

Mit dieser Einstellung wird die Reputation des Downloads basierend auf der Quelle der Datei, der Häufigkeit des Downloads usw. geprüft. Verwenden Sie die folgenden Optionen, um zu entscheiden, wie Downloads gehandhabt werden.

Legen Sie als Zu ergreifende Maßnahme Benutzer aufzufordern fest: Endbenutzer erhalten eine Warnung, wenn sie eine Datei mit geringer Reputation herunterladen. Sie können die Datei dann als vertrauenswürdig einstufen oder löschen. Diese Option ist voreingestellt.

Legen Sie eine der folgenden Reputationsstufen fest:

  • Empfohlen: Dateien mit geringer Reputation werden automatisch blockiert. Diese Option ist voreingestellt.
  • Streng: Downloads mit mittlerer und geringer Reputation werden automatisch blockiert und an Sophos Central gemeldet.

Nähere Informationen dazu finden Sie auf der Seite Download-Reputation.

Echtzeit-Scans - Optionen

Aktivitäten bekannter Aufwendungen automatisch ausschließen. Diese Einstellung schließt weit verbreitete Anwendungen aus, basierend auf den Empfehlungen deren Anbieter.

Für weitere Informationen siehe Sophos Central Server: Automatisch ausgeschlossene Fremdanbieterprodukte

Korrektur

Folgende Korrekturoptionen stehen zur Verfügung:

Malware automatisch entfernen: Sophos Central bereinigt automatisch erkannte Schadsoftware und protokolliert die Bereinigung. Dies ist über die Liste Ereignisse möglich.

Einschränkung

Auf Windows-Computern und Linux-Geräten, auf denen Sophos Protection for Linux ausgeführt wird, werden erkannte Elemente immer bereinigt, unabhängig von dieser Einstellung.

Wenn Sophos Central eine Datei bereinigt, entfernt es die Datei aus ihrem aktuellen Speicherort und verschiebt sie in den SafeStore. Dateien verbleiben im SafeStore, bis sie zugelassen oder entfernt werden, um Platz für neue Erkennungen zu schaffen. Sie können Dateien, die im SafeStore unter Quarantäne gestellt wurden, wiederherstellen, indem Sie sie den Erlaubten Anwendungen hinzufügen. Siehe Erlaubte Anwendungen.

SafeStore hat die folgenden Standardgrenzwerte:

  • Die maximale Dateigröße beträgt 100 GB.
  • Die maximale Quarantänegröße beträgt insgesamt 200 GB.
  • Es werden maximal 2000 Dateien gespeichert.

Bedrohungsgraph-Erstellung aktivieren. So können Sie die Ereigniskette bei einem Schadsoftware-Angriff untersuchen. Wir empfehlen Ihnen, dies einzuschalten, damit Sie Angriffe analysieren können, die wir erkannt und gestoppt haben.

Laufzeitschutz

Der Laufzeitschutz schützt vor Bedrohungen, indem verdächtiges oder schädliches Verhalten bzw. Datenverkehr erkannt wird.

Dokumente vor Ransomware schützen (CryptoGuard). Diese Einstellung schützt vor Schadsoftware, die den Zugriff auf Dateien unterbindet und für deren Freigabe Lösegeld fordert. Die Funktion ist standardmäßig aktiviert. Wir empfehlen, dass Sie sie nicht deaktivieren.

Sie können auch die folgenden Optionen verwenden:

  • Vor Ausführen von Ransomware per Fernzugriff schützen. Dadurch wird der Schutz im gesamten Netzwerk gewährleistet. Wir empfehlen, diese Einstellung nicht zu deaktivieren.
  • Vor Encrypting File System-Angriffen schützen. Dies schützt 64-Bit-Geräte vor Ransomware, die das Dateisystem verschlüsselt. Wählen Sie aus, welche Aktion Sie ergreifen wollen, wenn Ransomware erkannt wird. Sie können Ransomware-Prozesse beenden oder isolieren, um sie daran zu hindern, auf das Dateisystem zu schreiben.
  • Schutz vor Master Boot Record-Ransomware. Hiermit wird das Gerät vor Ransomware geschützt, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), sowie vor Angriffen, bei denen die Festplatte gelöscht wird.

Kritische Funktionen in Webbrowsern schützen (sicheres Surfen). Diese Einstellung schützt Ihre Webbrowser vor der Ausnutzung durch Schadsoftware über Ihren Webbrowser.

Exploits in Anwendungen mit Sicherheitslücken abschwächen. Diese Einstellung schützt Anwendungen, die besonders anfällig für Schadsoftware sind. Sie können festlegen, welche Anwendungstypen geschützt werden sollen.

Schutz von Prozessen. Hiermit wird der Missbrauch legitimer Anwendungen durch Schadsoftware verhindert. Sie können aus folgenden Optionen wählen:

  • Process Hollowing Angriffe verhindern. Wird auch als „Prozessersatz“ oder DLL-Injektion bezeichnet. Angreifer nutzen diese Technik häufig, um schädlichen Code in eine legitime Anwendung zu laden und zu versuchen, Sicherheitssoftware zu umgehen.

    Wenn Sie diese Einstellung deaktivieren, kann ein Angreifer Ihre Sicherheitssoftware leichter umgehen.

  • Laden von DLLs aus nicht vertrauenswürdigen Ordnern verhindern. Dies schützt vor einem Laden von DLL-Dateien aus nicht vertrauenswürdigen Verzeichnissen.

  • Zugangsdatendiebstahl verhindern. Dies verhindert den Diebstahl von Kennwörtern und Hash-Informationen aus Speicher, Registry oder von der Festplatte.
  • Rückgriff auf Code-Cave verhindern. Erkennt Schadcode, der in eine andere, legitime Anwendung eingeschleust wurde.
  • APC-Verstoß verhindern. Verhindert Angriffe, bei denen Application Procedure Calls (APC) für die Ausführung von deren Code genutzt werden.
  • Rechteausweitung verhindern. Verhindert Angriffe, bei denen der Angreifer versucht, höhere Rechte zu bekommen, um sich Zugang zu Ihren Systemen zu verschaffen.

Nachverfolgung der CPU-Verzweigungen aktivieren. Die Erkennung von CPU-Schadcode ist eine Funktion von Intel-Prozessoren, mit der zur Erkennung des Schadcodes die Prozessoraktivität verfolgt werden kann. Wir unterstützen es auf Intel-Prozessoren mit den folgenden Architekturen: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, und Kaby Lake. Wir unterstützen es nicht, wenn sich auf dem Computer ein legitimer Hypervisor befindet.

Dynamischer Shellcode-Schutz. Diese Einstellung erkennt das Verhalten verdeckter Command-and-Control-Agents und verhindert, dass Angreifer sich Kontrolle über Ihre Netzwerke verschaffen.

CTF Protocol Caller validieren. Diese Einstellung blockiert Anwendungen, die versuchen, eine Sicherheitsanfälligkeit in CTF auszunutzen, einer Komponente in allen Versionen von Windows. Die Sicherheitsanfälligkeit ermöglicht einem Nicht-Administrator-Angreifer, beliebige Windows-Prozesse zu übernehmen, einschließlich Anwendungen, die in einer Sandbox ausgeführt werden. Wir empfehlen, die Option CTF Protocol Caller validieren zu aktivieren.

Side-Loading unsicherer Module verhindern. Diese Einstellung verhindert das Sideloading einer schädlichen DLL, die sich als ApiSet-Stub-DLL ausgibt, durch eine Anwendung. ApiSet-Stub-DLLs dienen als Proxy, um die Kompatibilität zwischen älteren Anwendungen und neueren Betriebssystemversionen aufrechtzuerhalten. Angreifer können bösartige ApiSet-Stub-DLLs verwenden, um den Manipulationsschutz zu umgehen und den Schutz vor Schadsoftware zu beenden.

Wenn Sie diese Option deaktivieren, wird Ihr Schutz erheblich reduziert.

Für die MFA-Anmeldung verwendete Browser-Cookies schützen. Diese Einstellung verhindert, dass nicht autorisierte Anwendungen den AES-Schlüssel entschlüsseln können, der zur Verschlüsselung von MFA-Cookies (mehrstufige Authentifizierung) verwendet wird.

Netzwerkdatenverkehr schützen

  • Verbindungen zu schädlichen Command-and-Control-Servern erkennen. Erkennung von Datenverkehr zwischen einem Endpoint-Computer und einem Server, der auf einen möglichen Versuch hinweist, die Kontrolle über den Endpoint-Computer zu übernehmen.
  • Schädlichen Netzwerkverkehr mit Packet Inspection (IPS) verhindern. Diese Einstellung überprüft Datenverkehr auf niedrigster Ebene und blockiert Bedrohungen, bevor diese Schaden am Betriebssystem oder an Anwendungen anrichten können.

Linux-Laufzeit-Erkennungen. Diese Einstellung ermöglicht Ihnen Transparenz sowie Bedrohungserkennungen während der Laufzeit für Linux-Server-Workloads und -Container. Sie können diese Alarme im Bedrohungsanalyse-Center verwalten. Siehe Erkennungen.

Einschränkung

Um die Linux-Laufzeit-Erkennungen verwenden zu können, benötigen Sie eine entsprechende Lizenz. Siehe Richtlinie zu Linux-Laufzeit-Erkennungen für Server.

Das Verbinden schädlicher Beacons mit Command-and-Control-Servern verhindern. Diese Einstellung identifiziert und blockiert Beacons, die versuchen, die Erkennung zu umgehen, indem sie verschlüsselt bleiben.

Erkennung schädlichen Verhaltens. Diese Einstellung schützt Sie vor Bedrohungen, die noch nicht bekannt sind. Dies gelingt durch die Erkennung und Blockierung von Verhaltensweisen, die als bösartig oder verdächtig bekannt sind.

AMSI-Schutz. Diese Einstellung schützt über das Microsoft Antimalware Scan Interface (AMSI) vor Schadcode (wie etwa PowerShell-Skripts).

Über AMSI weitergeleiteter Code wird vor der Ausführung gescannt. Der Endpoint benachrichtigt die Anwendungen, die den Code ausführen, über Bedrohungen. Wenn eine Bedrohung erkannt wird, wird ein Ereignis protokolliert.

Entfernen der AMSI-Registrierung verhindern. Diese Einstellung stellt sicher, dass AMSI nicht von Ihren Computern entfernt werden kann.

Sophos Security Heartbeat aktivieren: Mit dieser Einstellung werden Berichte über den Server-Sicherheitsstatus an jede Sophos Firewall gesendet, die in Ihrem Sophos-Central-Konto registriert ist. Falls mehrere Firewalls registriert sind, werden die Berichte an die nächstgelegene verfügbare Firewall gesendet. Wenn aus einem Bericht hervorgeht, dass ein Server möglicherweise manipuliert wurde, kann die Firewall dessen Zugriff beschränken.

Adaptive Attack Protection

Automatisch zusätzliche Schutzmaßnahmen aktivieren, wenn ein Gerät angegriffen wird. Diese Einstellung bewirkt aggressivere Schutzmaßnahmen, wenn ein Angriff erkannt wird. Diese zusätzlichen Schutzmaßnahmen zielen darauf ab, die Aktionen eines Angreifers zu unterbrechen.

SSL/TLS-Entschlüsselung von HTTPS-Websites

Wenn Sie HTTPS-Websites mittels SSL/TLS entschlüsseln auswählen, entschlüsseln wir den Inhalt von HTTPS-Websites und prüfen diesen auf Bedrohungen.

Wenn wir eine unsichere Website entschlüsseln, blockieren wir diese. Der Benutzer wird hierüber benachrichtigt und kann die Website zur weiteren Prüfung an die SophosLabs senden.

Die Entschlüsselung ist standardmäßig deaktiviert.

Hinweis

Wenn in der Threat-Protection-Richtlinie Entschlüsselung für ein Gerät eingeschaltet ist, wird diese auf dem Gerät auch für die Web-Control-Richtlinienüberprüfung verwendet.

Echtzeit-Scans für Linux

Wenn Sie Scannen aktivieren für Server Protection for Linux Agent auswählen, werden die Dateien gescannt, während Benutzer versuchen, auf sie zuzugreifen. Zugriff wird gewährt, wenn die Datei schadfrei ist.

Standardmäßig sind Echtzeit-Scans für Linux deaktiviert.

Geplante Scans

Geplante Scans werden zu einer bestimmten Uhrzeit oder zu Zeiten durchgeführt, die Sie festlegen.

Sie können folgende Optionen wählen:

  • Geplanten Scan aktivieren. Sie können eine Uhrzeit und einen oder mehrere Tage festlegen, an welchen der Scan ausgeführt werden soll.

    Die Uhrzeit des geplanten Scans entspricht der Uhrzeit auf dem Endpoint-Computer (keine UTC-Zeit).

  • Intensivscans aktivieren. Wenn Sie diese Option aktivieren, werden beim geplanten Scan auch Archive gescannt. Hierdurch kann sich die Systemlast erhöhen, wodurch sich Scans möglicherweise deutlich verlangsamen.

Scan-Ausschlüsse

Die Aktivität einiger Anwendungen wird automatisch vom Echtzeit-Scan ausgenommen. Siehe Automatische Ausschlüsse.

Sie können auch Elemente und Aktivitäten weiterer Anwendungen vom Scan ausnehmen. Dies kann relevant sein, wenn eine Datenbankanwendung auf viele Dateien zugreift und dadurch viele Scans auslöst, was die Leistung des Servers beeinflussen kann.

Um für eine Anwendung Ausschlüsse zu definieren, können Sie mit dieser Option Prozesse dieser Anwendung ausschließen. Das ist sicherer als der Ausschluss von Dateien oder Ordnern.

Ausgeschlossene Elemente werden weiterhin auf Exploits überprüft. Sie können die Überprüfung auf einen bereits erkannten Exploit jedoch unterbinden (mit einem Ausschluss für Erkannte Exploits).

Ausschlüsse, die in einer Richtlinie festgelegt sind, werden nur für diejenigen Server verwendet, für die die Richtlinie gilt.

Wenn Sie Ausschlüsse auf alle Ihre Benutzer und Server anwenden möchten, richten Sie globale Ausschlüsse auf der Seite Meine Produkte > Allgemeine Einstellungen > Globale Ausschlüsse ein.

Hilfe zur Verwendung von Ausschlüssen finden Sie unter Sichere Verwendung von Ausschlüssen.

So erstellen Sie einen Scan-Ausschluss für Richtlinien:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie in der Dropdownliste Ausschlusstyp einen Elementtyp, der ausgeschlossen werden soll (Datei oder Ordner, Prozess, Website oder potentiell unerwünschte Anwendung).

  3. Geben Sie das Element oder die Elemente ein, die Sie ausschließen wollen. Es gelten folgende Regeln:

    • Datei oder Ordner (Windows). Auf Windows können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können Wildcards und Variablen verwenden. Beispiele:

      • Ordner: C:\programdata\adobe\photoshop\ (im Falle eines Ordners einen Querstrich hinzufügen)
      • Gesamtes Laufwerk: D:
      • Datei: C:\program files\program\*.vmg

    • Datei oder Ordner (Linux). Auf Linux können Sie ein Laufwerk, einen Ordner oder eine Datei ausschließen. Sie können die Platzhalter ? und * verwenden. Beispiel: /mnt/hgfs/excluded.

    • Prozess (Windows). Sie können jeden Prozess einer Anwendung ausschließen. Dadurch werden auch die Dateien, die vom Prozess verwendet werden, ausgeschlossen (aber nur, wenn dieser Prozess darauf zugreift). Falls möglich, geben Sie den vollständigen Pfad der Anwendung und nicht nur den Prozessnamen an, der im Task-Manager angezeigt wird. Beispiel: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      Hinweis

      Um alle Prozesse oder Elemente zu sehen, die Sie für eine Anwendung ausschließen müssen, schlagen Sie bitte in der Herstellerdokumentation der Anwendung nach.

      Hinweis

      Sie können Wildcards und Variablen verwenden.

    • Website (Windows). Sie können Websites als IP-Adresse, IP-Adressbereiche (in CIDR Notation) oder Domäne angeben. Beispiele:

      • IP-Adresse: 192.168.0.1
      • IP-Adressbereich: 192.168.0.0/24 Die Endung /24 steht für die Anzahl der Bits im Präfix, die für alle IP-Adressen dieses Bereichs gilt. /24 entspricht der Netzmaske 11111111.11111111.11111111.00000000. In unserem Beispiel umfasst der Bereich alle IP-Adressen, die mit 192.168.0. beginnen.
      • Domäne: google.com

      Wenn Sie eine Website ausschließen, überprüfen wir nicht die Kategorie der Website und sie ist vom Web-Control-Schutz ausgeschlossen. Siehe Web Control-Richtlinie für Server.

    • Potenziell unerwünschte Anwendung (Windows/Mac/Linux). Sie können Anwendungen ausschließen, die in der Regel als Spyware erkannt werden. Geben Sie den Ausschluss unter demselben Namen an, unter dem das System ihn erkannt hat, zum Beispiel „PsExec“ oder „Cain n Abel“. Weitere Informationen zu PUAs finden Sie im Sophos Bedrohungs-Center.

      Denken Sie sorgfältig nach, bevor Sie PUA-Ausschlüsse hinzufügen, weil sich Ihr Schutz dadurch verringern kann.

    • Erkannte Exploits (Windows/Mac). Sie können alle erkannten Exploits ausschließen. Diese werden dann für die betreffende Anwendung nicht mehr erkannt und sie wird nicht mehr blockiert.

      Sie können erkannte Exploits auch über eine Erkennungs-ID ausschließen. Sie können diese Option verwenden, wenn Sie falsch positive Erkennungen mit dem Sophos Support beheben. Der Sophos Support kann Ihnen eine Erkennungs-ID geben, damit Sie falsch positive Erkennungen ausschließen können. Klicken Sie dazu auf Exploit nicht aufgeführt? und geben Sie die ID ein.

      Hinweis

      Damit wird der CryptoGuard Ransomware-Schutz für diesen Exploit für die betreffende Anwendung auf Ihren Windows-Servern deaktiviert.

    • AMSI-Schutz (Windows). Unter Windows können Sie ein Laufwerk, einen Ordner oder eine Datei über ihren vollständigen Pfad ausschließen. Wir scannen keinen Code an diesem Ort. Sie können für den Dateinamen oder die Dateierweiterung den Platzhalter * verwenden. Siehe Antimalware Scan Interface (AMSI).

    • Server-Isolation (Windows). Die Isolation von Geräten (durch einen Administrator) ist verfügbar, wenn Sie sich für das Early-Access-Programm für Intercept X Advanced for Server with XDR angemeldet haben.

      Sie können isolierten Geräten erlauben, eingeschränkt mit anderen Geräten zu kommunizieren.

      Wählen Sie aus, ob isolierte Geräte ausgehende oder eingehende Kommunikation oder beides verwenden können.

      Schränken Sie diese Kommunikation mit einer oder mehreren dieser Einstellungen ein:

      • Lokaler Port: Jedes Gerät kann diesen Port auf isolierten Geräten verwenden.
      • Remote-Port: Isolierte Geräte können diesen Port auf jedem anderen Gerät verwenden.
      • Remote-Adresse: Isolierte Geräte können nur mit dem Gerät mit dieser IP-Adresse kommunizieren.

      Beispiel 1: Sie wollen Remote-Desktop-Zugriff auf ein isoliertes Gerät, um Probleme beheben zu können.

      • Wählen Sie Eingehende Verbindungen aus.
      • Geben Sie die Portnummer unter Lokaler Port an.

      Beispiel 2: Sie wollen auf ein isoliertes Gerät zuzugreifen und Bereinigungswerkzeuge von einem Server herunterzuladen.

      • Wählen Sie Ausgehende Verbindung aus.
      • Geben Sie unter Remote-Adresse die Adresse des Servers ein.

  4. Bei Ausschlüssen von Dateien oder Ordnern geben Sie in der Dropdownliste Aktiv für an, ob der Ausschluss für Echtzeit-Scans, geplante Scans oder beide gelten soll.

  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss wird der Liste der Scan-Ausschlüsse hinzugefügt.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Weitere Informationen zu den Ausschlüssen finden Sie unter:

Ausschlüsse für Exploit-Mitigation

Sie können Anwendungen vom Schutz vor Sicherheits-Exploits ausnehmen. Beispielsweise haben Sie die Möglichkeit, eine fälschlicherweise als Bedrohung erkannte Anwendung ausschließen, bis das Problem behoben ist.

Das Hinzufügen von Ausschlüssen verringert den Schutz.

Wenn Ausschlüsse mit der globalen Option erstellt werden, erstellt Allgemeine Einstellungen > Globale Ausschlüsse, die für alle Benutzer und Geräte gelten.

Wir empfehlen Ihnen, diese Option zu verwenden, und die Richtlinie, die den Ausschluss enthält, nur den Servern zuzuweisen, für die der Ausschluss erforderlich ist.

Hinweis

Sie können nur Ausschlüsse für Windows-Anwendungen erstellen.

So erstellen Sie eine Richtlinie für Exploit-Mitigation-Ausschlüsse:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie Exploit Mitigation (Windows) in Ausschlusstyp.

    Eine Liste der geschützten Anwendungen in Ihrem Netzwerk wird angezeigt.

  3. Wählen Sie die Anwendung aus, die Sie ausschließen wollen.

  4. Wenn die gewünschte Anwendung nicht angezeigt wird, klicken Sie auf Anwendung nicht aufgeführt?. Sie können Ihre Anwendung jetzt vom Schutz ausschließen, indem Sie den Dateipfad eingeben. Wählen Sie optional eine der Variablen aus.

  5. Wählen Sie unter Gegenmaßnahmen aus den folgenden Optionen aus:

    • Anwendung schützen deaktivieren. Die ausgewählte Anwendung wird nicht auf Exploits geprüft.
    • Anwendung schützen aktiviert und die Exploit-Typen auswählen, nach denen Sie suchen oder nicht suchen wollen.

  6. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss gilt nur für Server, denen Sie diese Richtlinie zuweisen.

    Download-Reputation

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Hinweis

Wenn Sie eine Website ausschließen, überprüfen wir nicht die Kategorie der Website und sie ist vom Web-Control-Schutz ausgeschlossen. Siehe Web Control-Richtlinie für Server.

Weitere Hilfe zu Ausschlüssen für Exploit-Mitigation finden Sie hier:

Ransomware-Schutz-Ausschlüsse

Sie können Anwendungen oder Ordner, die von Anwendungen verwendet werden, vom Ransomware-Schutz ausschließen.

Möglicherweise wollen Sie eine Anwendung ausschließen, die wir fälschlicherweise als Bedrohung erkannt haben, oder eine Anwendung, die nicht mit dem Ransomware-Schutz kompatibel ist. Wenn Sie beispielsweise über eine Anwendung verfügen, die Daten verschlüsselt, sollten Sie sie möglicherweise ausschließen. So wird verhindert, dass die Anwendung als Ransomware erkannt wird.

Oder Sie wollen Ordner ausschließen, die von bestimmten Anwendungen verwendet werden, da es zu Performance-Problemen kommt, wenn sie vom Ransomware-Schutz überwacht werden. Zum Beispiel können Sie Ordner ausschließen, die von Backup-Anwendungen verwendet werden.

Das Hinzufügen von Ausschlüssen verringert den Schutz.

Wenn Ausschlüsse mit der globalen Option erstellt werden, erstellt Allgemeine Einstellungen > Globale Ausschlüsse, die für alle Server gelten.

Wir empfehlen, dass Sie Ausschlüsse in einer Richtlinie hinzufügen und diese Richtlinie nur den Benutzern und Geräten zuweisen, für die die Ausschlüsse erforderlich sind.

So erstellen Sie eine Richtlinie für Ransomware-Schutz-Ausschlüsse:

  1. Klicken Sie auf Ausschluss hinzufügen (rechts auf der Seite).

    Das Dialogfeld Ausschluss hinzufügen wird angezeigt.

  2. Wählen Sie Ransomware-Schutz (Windows) in Ausschlusstyp.

  3. Wählen Sie aus, ob Sie einen Prozess oder einen Ordner ausschließen wollen.

    Wählen Sie Prozess, um eine Anwendung auszuschließen.

  4. Geben Sie unter WERT den Pfad für den Prozess oder Ordner ein, den Sie ausschließen wollen.

    Sie können dann einen Ordner anhand des lokalen Pfads ausschließen. Sie können ihn nicht durch seinen Remote-Pfad im UNC-Format ausschließen, zum Beispiel \\servername\shared-folder.

    Sie können Variablen verwenden, wenn Sie Prozesse oder Ordner ausschließen. Siehe Exploit-Mitigation oder Ransomware: Wildcards und Variablen.

  5. Klicken Sie auf Hinzufügen oder Weitere hinzufügen. Der Ausschluss gilt nur für Server, denen Sie diese Richtlinie zuweisen.

Um einen Ausschluss später zu bearbeiten, wählen Sie diesen in der Ausschlussliste aus, geben Sie neue Einstellungen ein und klicken Sie auf Aktualisieren.

Desktop-Benachrichtigungen

Desktop-Benachrichtigungen senden Benachrichtigungen über Ereignisse zum Schutz vor Bedrohungen. Diese Einstellung ist standardmäßig aktiviert.

Sie können Ihre eigene Nachricht eingeben, um sie am Ende der Standardbenachrichtigungen hinzuzufügen.